ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.VBS.Lee

Data de detecção 01/11/2002
Classe Email-Worm
Plataforma VBS
Descrição

Detalhes técnicos

Esta é uma família de worms da Internet que usam diferentes tecnologias de infecção, dependendo de suas versões. Existem dois worms "básicos": "Lee.a" e "Lee.b". O primeiro se espalha através dos canais de IRC, e o segundo usa o MS Outlook para enviar e-mails infectados. Outras versões do worm são modificações e / ou combinações desses originais. Todos os worms são escritos em Visual Basic Script Language (VBS).

I-Worm.Lee.a

Este é um verme simples. Ele se espalha pelos canais de IRC enviando um arquivo infectado para computadores conectados ao mesmo canal que o computador infectado.

Quando o worm é ativado por um usuário, ele se copia para uma pasta do sistema Windows com o nome "McAffe.vbs". Em seguida, o worm localiza um diretório no qual o cliente mIRC está instalado e cria o arquivo "SCRIPT.INI" nesse diretório que contém comandos para o cliente mIRC. O worm grava, neste arquivo, comandos para enviar um arquivo infectado para cada computador conectado ao mesmo canal do computador infectado.

Depois de criar um arquivo "SCRIPT.INI", o worm cria uma marca no registro do sistema, assim, na hora seguinte, o worm não criará um arquivo "SCRIPT.INI" se esta marca estiver presente.

O worm não tem rotina de carga útil.

I-Worm.Lee.b

Este worm se espalha via e-mail, enviando mensagens infectadas de computadores infectados. Ao se espalhar, o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook. Como resultado, um computador infectado envia o mesmo número de mensagens para quantos endereços forem mantidos na lista de contatos do MS Outlook.

O vírus funciona somente em computadores nos quais o WSH (Windows Scripting Host) está instalado. No Windwos 98 e no Windows 2000, o WHS é instalado por padrão. Para se espalhar, o worm acessa o MS Outlook e usa suas funções e listas de endereços disponíveis apenas no Outlook 98/2000, então o worm é capaz de se espalhar somente na instância em que uma dessas versões do MS Oulook está instalada.

Espalhando

O worm chega a um computador como uma mensagem de e-mail com um arquivo VBS anexado que é o próprio worm. A mensagem na versão original do worm contém o seguinte:

Assunto: Mail from: Lee@Buxtehude.de

Corpo:

O melhor Firewall no Windows é …> BlackIce.

BUGFIX des Monats:

Windoof 2000.
Du kannst Dich, auf jedem Windoos 2000 Server als Gast einloggen.
E não há trotsmits em Zugriff auf fast alle gesperrten Data, a data normal
Anwender keinen Zugriff haben d # rfen.
Wie zb. morre Boot.ini … ts..ts..ts

LEBENSHILFE ……:

99% aller Pc Probleme befinden sich zwischen Tastatur und Stuhl.
Morra, morra, tun. Die, die nicht k�nnen, simulieren.
O Ein Hacker é uma ferramenta que pode ser usada em vários idiomas. Dann immer mit Absicht.
Se você está em 1 de setembro de 2008, 8 dias atrás, em 9 de Monaten 3.

Por Euer Lee

Nome do arquivo anexado: Independance Day.vbs

Ao ser ativado por um usuário (clicando duas vezes em um arquivo anexado), o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém todos os endereços de lá e envia mensagens com a cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos acima.

Para impedir que mensagens duplicadas sejam enviadas de um computador já infectado, o worm cria uma marca no registro do sistema. O worm não envia mensagens se esta marca estiver presente.

O worm não tem rotina de carga útil.

I-Worm.Lee.c

Esta variante do worm é muito próxima da variante "Lee.b". Tem algumas alterações e adições no seu código:

Uma mensagem infectada contém:

Assunto: Ncc1701e

Corpo:

Oi, isso é Ncc1701e falando com todos os Borg's na galáxia ..!
Você deve morrer … Assassinato para todos os caras do Terranien …

Nome do arquivo anexado: Picard.vbs

Quando o worm é ativado, ele se copia para o diretório do Windows com o nome "Picard.vbs" e registra esse arquivo no registro do sistema na seção autostart:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunStartTrek = "wscript.exe Picard.vbs"

Como resultado, o worm é ativado em cada inicialização do Windows.

Uma sequência de comentários é adicionada ao início do código:

'Worm Criado por Lee de Germany

I-Worm.Lee.d

Isso é híbrido das variantes "Lee.a" e "Lee.b". A mensagem infectada contém:

Assunto: Correio de: Osterhase@Ostern.de

Corpo:

Olá..
Verifique isso!
Esta é a nossa morte ..
Meu nome é Lee ..
Eu sou da Alemanha
E eu odeio Lucky2000 … há roubou
meu verme de opinião. Eu também odeio Duke da DVL
Minha página favorita é Coderz.Net..Thx: Evul para hostet
meu site … Har Har Har ..

Ein Geiler Trick von mir …..
via Telnet.

Esta é a última vez que você pode começar a usar o Windoof, dort auf den Men # punkt ausf # hren,
Redirecionar> Telnet <ein und dr # ckt Return.
Terminal de Microschrott Telnet ��net s in in F F F F
. Ihr baut jetzt eure Verbindung auf und geht auf Verbinden,
Danach auf Netzwerk-system und gebt zb ein:
mail.compuserve.com 25 (no caso de Compuserve verwendet,
entsprechendes dourado f # r T-Online, fornecedor de serviços de cozinha e fornecedores.
Der Server meldet sich dann mit einem Conectar um.
Ihr tippt dann "helo". Das Helo muens al erstes stehen, foi danach kommt, ist egal.
Jetzt schreibt ihr: Correio de:
Bill_Gates@Microsoft.com (agora é Beispiel) Ihr dr # ckt dann Return,
und schreibt den Em�f�nger: em�f�nger @ sein provider.de (endereço de e-mail exacte).
Wieder Return Taste e dann kommt morrer
Nachricht: 250 em�f�nger @ sein provider.de … destinatário ok.
Jetzt nur "data" eintippen und Euren Text, den
morra E-mail haben soll e macht dann einen Punkt "." e não há nada de errado em devolver o gosto.
Und das war es dann schon, der Empfänger wird sich wundern …: -) …..

Euer Lee

Nome do arquivo anexado: Osterhase.vbs

O warm tem string de comentário no final do código:

'Osterhase@Ostern.de de Lee

I-Worm.Lee.e

O mesmo que "Lee.d", mas adicionalmente se registra no registro do sistema na seção autostart:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunLee = "wscript.exe Ds9.vbs"

Como resultado, o worm é ativado em cada inicialização do Windows.

A mensagem infectada contém:

Assunto: Hi check This …
Corpo: Olá..seu jogo está terminado..Por Q de Lee
Nome do arquivo anexado: Ds9.vbs

I-Worm.Lee.f

Esta é uma ligeira variante polimórfica de "Lee.c". Ele contém uma rotina que altera aleatoriamente nomes de variáveis ​​no código do worm.

A mensagem infectada contém:

Assunto: Nova ferramenta de segurança do Outlook

Corpo:

Querido usuário !
Aqui está a nova ferramenta Outlook Security.
Não mais Vb-vírus.
Atenciosamente: Lee@Microsoft.com

Nome do arquivo anexado: Update.vbs


Link para o original